Windows Server: como detectar signos de explotación antes de la actualización MS14-068
Microsoft ha compartido más detalles acerca de la vulnerabilidad crítica en Microsoft Windows Kerberos Key Distribution Center (CVE-2014-6324) que permite elevación privilegios y que ha dado lugar a la actualización MS14-068. Según el boletín oficial, la vulnerabilidad está siendo explotada en "ataques limitados y dirigidos" y por eso se ha instado a los administradores y usuarios a aplicar el parche emitido.
La vulnerabilidad es fácilmente explotable de forma remota y permite la elevación de privilegios en controladores de dominio de Windows. Un atacante en posesión de credenciales de cualquier usuario de dominio puede elevar sus privilegios a la de cualquier otra cuenta en el dominio, incluyendo cuentas de administrador.
Después de explicar cómo funciona Kerberos, Microsoft indica que actualmente, sólo los controladores de dominio que ejecutan Windows Server 2008R2 y menores están bajo ataque, y que deberían ser los únicos a actualizar urgentemente.
Pero, los controladores de dominio que ejecutan Windows 2012 también son vulnerables a ataques relacionados, pero que más difíciles de ejecutar.
Para detectar si la organización está siendo atacada, se deben visualizar los registros de eventos de los controladores de dominio, para detectar signos de la explotación del bug.
La pieza clave de la información en la imagen son los campos "SecurityID" y "Account Name" porque los mismos deberían coincidir y no lo hacen. En la imagen, el usuario "nonadmin" ha utilizado el exploit para elevar sus privilegios a "TESTLAB\Administrator".
Después de instalar la actualización, para Windows 2008R2, puede utilizarse el registro de eventos con ID 4769 para detectar intentos de ataques ya que cualquier evento relacionado que fracase ("Audit Failure") estará relacionado a la explotación de la vulnerabilidad.
Finalmente, si el dominio ya ha sido comprometido, la única forma de remediar dicho compromiso es la reconstrucción completa del dominio.
Fuente: Microsoft
La vulnerabilidad es fácilmente explotable de forma remota y permite la elevación de privilegios en controladores de dominio de Windows. Un atacante en posesión de credenciales de cualquier usuario de dominio puede elevar sus privilegios a la de cualquier otra cuenta en el dominio, incluyendo cuentas de administrador.
Después de explicar cómo funciona Kerberos, Microsoft indica que actualmente, sólo los controladores de dominio que ejecutan Windows Server 2008R2 y menores están bajo ataque, y que deberían ser los únicos a actualizar urgentemente.
Pero, los controladores de dominio que ejecutan Windows 2012 también son vulnerables a ataques relacionados, pero que más difíciles de ejecutar.
Para detectar si la organización está siendo atacada, se deben visualizar los registros de eventos de los controladores de dominio, para detectar signos de la explotación del bug.
La pieza clave de la información en la imagen son los campos "SecurityID" y "Account Name" porque los mismos deberían coincidir y no lo hacen. En la imagen, el usuario "nonadmin" ha utilizado el exploit para elevar sus privilegios a "TESTLAB\Administrator".
Después de instalar la actualización, para Windows 2008R2, puede utilizarse el registro de eventos con ID 4769 para detectar intentos de ataques ya que cualquier evento relacionado que fracase ("Audit Failure") estará relacionado a la explotación de la vulnerabilidad.
Finalmente, si el dominio ya ha sido comprometido, la única forma de remediar dicho compromiso es la reconstrucción completa del dominio.
Fuente: Microsoft
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!